Der Daten-GAU: iCloud-Konto gehackt

[docanonymous]

In welche Abhängigkeit er sich begeben hatte, fiel dem amerikanischen Journalisten Mat Honan wohl erst auf, nachdem Hacker sein iCloud-Konto gehackt und sein digitales Alter Ego gelöscht hatten. Neben der Löschung seiner Geräte nahmen sich die Hacker auch seine E-Mail- und Twitter-Konten vor. Die Schuld dafür gibt der Journalist dem Apple-Support.

zur News

[Mr_J]

...

[traceroute]

Sollte der Support von Apple tatsächlich Stein des Anstoßes gewesen sein und die Daten nicht wiederhergestellt werden können, erwartet Apple wohl eine saftige Klage.

[Lovntola]

Sollte der Support von Apple tatsächlich Stein des Anstoßes gewesen sein und die Daten nicht wiederhergestellt werden können, erwartet Apple wohl eine saftige Klage.

Unter anderem durch Social-Engineering gelang es, den Kundendienst zu überlisten und die eigentlich vorgesehene Sicherheitsabfrage zu umgehen.

Willst du apple die Schuld geben, dass jemand durch Recherche die Antwort herausfand?
Ich denke nicht ...

[paulsenior69]

Willst du apple die Schuld geben, dass jemand durch Recherche die Antwort herausfand?
Ich denke nicht ...

Lässt sich doch ganz einfach vermeiden:
Frage:
"Wo ist ihr Lieblingsort?"

Antwort:
"aim8pahpaeW3yeiquaez"

Wenn Menschen auf diese ganzen Passwort-Zurücksetz-Fragen reelle Antworten geben ist denen nicht mehr zu helfen.

[TipoHb]

Das eigentlich interessante kommt jetzt erst...
Sind die Daten wirklich weg, wenn man was löscht, oder kann man die wieder herstellen.
Wenn ja, wann sind die Daten dann wirklich gelöscht?

[Lovntola]

Wenn Menschen auf diese ganzen Passwort-Zurücksetz-Fragen reelle Antworten geben ist denen nicht mehr zu helfen.

Und wenn du diese Antwort auch vergisst? Dann ist dir auch nicht mehr zu helfen

[Shodan_v2-3]

[Zorgo]

Willst du apple die Schuld geben, dass jemand durch Recherche die Antwort herausfand?
Ich denke nicht ...

Social engineering beinhaltet eben nicht, die Überwindung von Sicherheitsmassnahmen, sondern deren Umgehung.
Wieviele Personen würden einem Fremden die Handynummer des Kindes nennen? Sehr wenige, oder?
Aber wie siehts aus, wenn man so einen Anruf bekommt.
"Hi, hier ist der Vater von Tim, einem Freund ihres Sohnes. Die beiden sind ja gemeinsam unterwegs, oder? Zumindest hat mir das meine Frau gesagt. Bei mir gibts nen Notfall, ich kann ihn übers Handy jedoch nicht erreichen. Es ist wirklich dringend, da wir möglichst schnell zur Grossmutter ins Krankenhaus eilen müssen. Können sie mir bitte die Nummer ihres Sohnes geben, damit ich mit ihm sprechen kann?"
Wieviele würden wohl auf sowas reinfallen?

[Lovntola]

Und das soll die Schuld von apple sein?

[Zorgo]

Und das soll die Schuld von apple sein?

Ja, wenn sie Daten heraus gegeben haben, ohne sich an die eigenen Sicherheitsmassnahmen zu halten.
Wieso gibts Sicherheitsfragen, wenn ein Unbekannter diese doch umgehen kann, weil ein Apple Mitarbeiter sich über diese hinweg setzt?

Natürlich unter der Voraussetzung, dass es so gewesen ist.

[Lovntola]

Ja, wenn sie Daten heraus gegeben haben, ohne sich an die eigenen Sicherheitsmassnahmen zu halten.
Wieso gibts Sicherheitsfragen, wenn ein Unbekannter diese doch umgehen kann, weil ein Apple Mitarbeiter sich über diese hinweg setzt?

Es ist nicht bekannt, welche Sicherheitshürden tatsächlich übergangen wurden. Der Angreifer könnte davor schon einen Trojaner beim Opfer gehabt haben und so an Infos gekommen sein. Vielleicht hatte der Herr eine Kopie eines Ausweises gespeichert? Vielleicht fand er so die Geheimantwort heraus? So ganz ohne Vorwissen wird der ANgreifer wohl nicht vorgegangen sein, denn sonst wäre es kein Einzelfall sondern tägliche Praxis.

Aber wenn es um apple ist man, auf gulli besonders, schnell voreilig.

[Zorgo]

@Lovntola
Darum habe ich auch das Wort wenn verwendete und habe noch extra auf die vorhin genannte Voraussetzung hingewiesen.
Man weiss es nicht, aber die Nennung von social engineering legt den Schluss nahe, dass hier Sicherheitsmassnahmen umgangen wurden. Denn sonst, wäre SE im Text gar nicht aufgetaucht.

[PeacemanX]

Zorgo & Lovntola, ich glaube das ihr beide recht habt. Jedenfalls zu Teilen, aber das spielt für Apple gar keine rolle mehr ob jemand ein Trojaner auf seinen Rechner machen konnte. Apple ist so oder so gef*ckt, weil die Geschichte in der Öffentlichkeit ist und in der freien Marktwirtschaft geht es eben nicht wie vor Gericht "In dubio pro reo".
Apple hat nicht nur nen Kratzer an die glänzende Hülle bekommen sondern einen Kinnhaken und liegt am Boden, vor allem weil ja eben nicht bekannt geworden ist WIE die an die Daten gekommen sind & wenn die/der Hacker so etwas durchziehen kann innerhalb weniger Minuten (?) wird er auch dafür gesorgt haben das man Ihn nicht zurück verfolgen kann bzw alle Beweise, die für oder gegen Apple sprechen gelöscht haben.

Ich würde sogar vermuten das es nicht ein Angriff auf den Journalisten sondern auf Apple war, oder warum sollte man nicht "nur" seine Identität im Internet missbrauchen, sondern ihm ALLES was er, offensichtlich, digital gespeichert hatte Zerstören? Na gut manche könnten sagen der war an was heißem dran, aber wenn es wirklich so etwas wäre, dann würde man ihn doch eher umlegen als versuchen sich mit einem der größten Betriebe der Menschheit anlegen oder?

[SanitysDownfall]

Das sieht bei Google meines Wissens alles nicht besser aus. Ich habe keine Fallback-Adresse eingerichtet und mal aus Interesse versucht mein Passwort zurückzusetzen. Dazu musste ich allerlei Informationen, die ich noch über den Account habe eingeben und ein Google-Mitarbeiter würde dann entscheiden, ob meine eingegebenen Daten ähnlich genug zu den Originaldaten sind. Das waren dann so Fragen wie "Welche Labels haben sie in Gmail" oder "Wann denken sie haben sie sich angemeldet" die dann auch noch nur grob richtig sein müssen... Nicht sehr sicher...

[markantelli]

Willst du apple die Schuld geben, dass jemand durch Recherche die Antwort herausfand?
Ich denke nicht ...

Ich denke doch...
Von welcher Antwort redest du hier? Die Sicherheitsfrage musste ja offensichtlich nicht beantwortet werden. Wie aus deinem eigenen Zitat hervorgeht.

Unter anderem durch Social-Engineering gelang es, den Kundendienst zu überlisten und die eigentlich vorgesehene Sicherheitsabfrage zu umgehen.

[derPingu]

Hört sich für mich so an, als wenn er kein Backup hat, dazu kann man nicht viel sagen.

Zum Thema Social Engineering empfehle ich mal das Buch von Kevin Mitnick.
http://www.amazon.de/Die-Kunst-T%C3%.../dp/3826609999

[Kugelfisch23]

Für die fatalen Folgen verantwortlich war in diesem Fall ja nicht primär das kompromittierte Apple-Konto, sondern die Tatsache, dass dieses über unnötig viele Rechte verfügte. Wäre das Konto nur für z.B. iCloud verwendet worden, wären maximal die dort abgelegten Daten verloren. Ebenso wie die Wiederverwendung von Passwörteren für mehrere Konten ist es sehr fahrlässig, ein einzelnes Konto mit derart vielen Rechten (iCloud, Passwortrücksetzung für weitere Dienste über E-Mail, Remote-Löschung von lokalen Daten) auszustatten. Allerdings trägt Apple in dieser Hinsicht sicherlich eine Mitschuld, da mit demselben Konto diverse Dienste (Cloud-Speicher, E-Mail, Webhosting, ...) angeboten und die Nutzer sogar ermutigt werden, ihre Apple-Geräte mit dem Konto zu verknüpfen und damit u.a. Remote-Löschungen zu ermöglichen.

Insbesondere in der Remote-Löschung sehe ich ausserdem bloss eine unnötige Gefahr, jedoch keinen sinnvollen Nutzen. Zuverlässig geschützt werden die privaten Daten dadurch nicht, da sie von einem z.B. gestohlenen Gerät kopiert werden können, bevor dieses eingeschaltet und damit potentiell gelöscht wird. Wenn ein Angreifer jedoch Zugang zum Apple-Konto erlangt - wie in diesem Fall geschehen - hat die Funktionalität fatale Folgen, da dann die lokal gespeicherten Daten sowie das vermeintliche Backup auf iCloud zugleich gelöscht werden können. Viel sinnvoller wären als vorbeugende Massnahmen eine Datensicherung auf einem externen Medium einerseits und eine Verschlüsselung der Daten andererseits - dann ist im Falle eines Diebstahls maximal die Hardware verloren.

[a_d_s]

Insbesondere in der Remote-Löschung sehe ich ausserdem bloss eine unnötige Gefahr, jedoch keinen sinnvollen Nutzen. Zuverlässig geschützt werden die privaten Daten dadurch nicht, da sie von einem z.B. gestohlenen Gerät kopiert werden können, bevor dieses eingeschaltet und damit potentiell gelöscht wird.

Außer natürlich man verschlüsselt seine Festplatte(n). Gerade bei mobilen Geräten sollte das Standard sein. Dann kann das Gerät verloren gehen, man braucht sich aber keine Gedanken mehr um das "Remote Wipe" machen, ohne Passwort kommt sowieso niemand an die Daten heran.

[EinsteinXXL]

Tja, da kann ich eigentlich nur noch lachen, denn das habe ich kommen sehen. Es solle eigentlich jeden klar sein, dass Onlineinhalte nie sicher vor fremden Zugriffen sind. Nichts ist sicher im IT-Wesen! Die Risiken von Cloud Diensten werden auch nicht seit gestern diskutiert. Wenn ich dánn noch sowas lese, schreckt es mich doch extrem ab diese fragwürdigen Dienste zu nutzen.
Wer auf Nummer sicher gehen will sollte sich ein NAS zulegen (klar nicht billig) und sein Backup am besten in verschlüsselter Form dort abspeichern. Natürlich ist ein NAS auch nicht 100% sicher, da Schadsoftware auf dem PC an dem das NAS angeschlossen ist die Daten des NAS löschen könnten. Siehe BKA/GEMA Trojaner der in seiner neueren Version persönliche Daten verschlüsselt. Ohne eine vorliegende Infektion des eigenen Rechners sind die Daten dann schon recht sicher und bietet zudem noch Schutz gegen Fremdzugriffe unserer Staatslakeien.

Außer natürlich man verschlüsselt seine Festplatte(n). Gerade bei mobilen Geräten sollte das Standard sein. Dann kann das Gerät verloren gehen, man braucht sich aber keine Gedanken mehr um das "Remote Wipe" machen, ohne Passwort kommt sowieso niemand an die Daten heran.

Wo er Recht hat hat er Recht! Mich wunderts eh, wieso das nicht Standard bei mobilen Geräten ist, oder wieso Daten nicht anständig auf den Geräten gelöscht werden, gerade dann, wenn man einen Werksreset durchführt. Leistungsfähig genug sind heutige Smartphones alle mal für eine Verschlüsselung.